باجافزار DXXD بهطور خاص سرورهای مایکروسافت را هدف حمله خود قرار داده است و فایلهای به اشتراک گذاشتهشده را، حتی بر روی درایوهای مخفی، رمز میکند.باجافزار DXXD فایلهای خود را با فرمت .dxxd رمز میکند و سپس پیامی را به مدیر سرور نمایش میدهد و از او درخواست میکند تا با ایمیلrep_stosd@protonmail.com یا rep_stosd@tuta.io.to بهمنظور بازیابی اطلاعات تماس برقرار کند.البته یکی از ویژگیهای جالب این بدافزار، دسترسی به رجیستری ویندوز است که با استفاده از آن پیام نمایش دادهشده کاملاً قانونی به نظر میرسد. بدین ترتیب هنگامورود به سرور، پیام بهصورت یک پیام معمولی ویندوز نمایش داده میشود.باجافزار DXXD مسیر های :
و
را در رجیستری مطابق با پیام خود تغییر میدهد.بر اساس گزارش محققان امنیتی این بدافزار با استفاده از پروتکل ریموت دسکتاپ (RDP) یا حمله جستجوی فراگیر (Brute Force) و یا استفاده از آسیبپذیری سرور، به سامانه نفوذ میکند.
[/size]کد: انتخاب همه
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\LegalNoticeCaption
کد: انتخاب همه
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\LegalNoticeText